在 Windows 上有效
CA ControlMinder 策略模型服务 (sepmdd) 即 PMDB 服务。 它可执行以下函数:
SeOSAgent 启动 sepmdd 服务。 不需要显式运行 sepmdd。 每个策略模型的两个可能状态是“已启动”和“已停止”。
PMDB 存储在公用目录中。 注册表子键 HKLM\Software\ComputerAssociates\AccessControl\Pmd 中的注册表值 _pmd_directory_ 指定公用目录的名称。 每个策略模型位于该公用目录的子目录中。 策略模型的名称是它所在的子目录的名称。
当 sepmdd 启动时,它检查是否有任意订阅者数据库需要更新,如果需要,就更新它们。 在该启动进程后,sepmdd 服务等待用户的请求。 用户请求是通过策略模型管理实用程序 sepmd,以及通过使用 CA ControlMinder 代理的 selang 发送的。
当接收到某个请求时,sepmdd 将其应用到 PMDB,然后将结果发送回用户。 如果需要传播该请求,sepmdd 会将更新传播给它的订阅者数据库。
sepmdd 服务试图花费 30 秒时间来更新订阅者数据库。 如果时间已过而服务并没有成功更新订阅者,则它会忽略特定的订阅者,并尝试更新列表中的剩余订阅者。 完成订户列表的首次扫描后,sepmdd 会接着执行第二次扫描,在这次扫描期间,它会尝试更新在第一次扫描期间未成功更新的订户。 第二次扫描期间,它将尝试更新订阅者,直到连接系统调用超时(大约 90 秒)。
如果某个订阅者在第二次扫描期间不可用,sepmdd 会尝试每隔 30 分钟向它发送一次更新。
由于必须按照接收更新的顺序发送更新,因此 sepmdd 不会将后续更新发送给该订阅者数据库,直到它变为可用。
每次 sepmdd 更新订阅者数据库失败时,会在策略模型错误日志中写入警告消息。
筛选机制
您可能希望 PMDB 选择性地更新在其下面的订阅者工作站。 要规定哪些记录发送到订阅者工作站,请将注册表项字符串值设置到一个筛选文件中。 这样,会将对订阅者工作站的更新限制为通过筛选文件的记录。
下面是一个示例:
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd\PolicyModelName\Filter
筛选文件由每行具有六个字段的行组成。 字段包含如下信息:
有效值包括:AUTHORIZE_DELETE、AUTHORIZE_MODIFY、CREATE、DELETE、DEPLOY、EDIT、FILESCAN、GET、SEOS_ACCS_READ、JOIN_DELETE、JOIN_MODIFY、MODIFY、READ、START 或 UNDEPLOY。
有效值包括:AC、CONFIG、UNIX、NT 或 NATIVE。
有效值包括 CA ControlMinder 中的所有类,其中包括用户定义的类。‑
例如:User1、AuditGroup 或 COM2。
例如:将 GROUPS 和 FULLNAME 包括在用户记录的筛选行中意味着具有这些用户属性的任何命令都会被筛选。 必须按照显示准确输入每个属性。
有效值包括:PASS、NOPASS。
注意:可以在任意字段中使用星号表示“所有可能值”。 如果不止一行包括相同的记录,则使用适用的第一行。
在筛选文件的每一行中,空格分隔字段。 在具有多个值的字段中,使用分号分隔值。 任何以“#”开始的行均被视为注释行。 不允许有空行。 下面是某筛选文件中的某个行的示例:
|
CREATE |
AC |
USER |
* |
FULLNAME;OBJ_TYPE |
NOPASS |
|
访问的 |
环境 |
类 |
记录名 |
属性 |
处理 |
例如:如果带有该行的文件名为 Printer1_Filter.flt,并且注册表键 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd\PM‑\Filter 包含行“C:\Program Files\CA\AccessControl \data\Printer1_Filter.flt”,则策略模型 PM‑1 不会发送以 FULLNAME 和 OBJ_TYPE(管理员、审核员等)创建新 CA ControlMinder 用户的记录。 星号表示“任何名称”。
与每个访问权限值相关的 selang 命令为:
|
访问 |
selang 命令 |
|---|---|
|
AUTHORIZE_DELETE |
authorize-‑ |
|
AUTHORIZE_MODIFY |
authorize- |
|
CREATE |
newres、newusr、newgrp、newfile |
|
DELETE |
rmres、rmusr、rmgrp、rmfile、join‑ (UNIX) |
|
DEPLOY |
deploy |
|
EDIT |
editres、editusr、editgrp、editfile |
|
FILESCAN |
search |
|
GET |
get devcalc |
|
JOIN_DELETE |
join- |
|
JOIN_MODIFY |
join- |
|
MODIFY |
chres、chusr、chgrp、chfile、join (UNIX) |
|
READ |
list |
|
START |
start devcalc |
|
UNDEPLOY |
deploy- (undeploy) |
注意:CA ControlMinder 不验证规则;因此,如果在某个规则中输入的值无效,该规则永远不会与更新事务匹配。
注册表子键
每个 PMDB 在以下路径下都有其自己的注册表子键:
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd
此子键包含定义和确定 PMDB 活动的值。 如果子键尚不存在,则 sepmdd 实用程序会进行创建,并具有所需的最少项数。
|
版权所有 © 2013 CA。
保留所有权利。
|
|